Deutsch | English
Dieser Blog enthält keine offiziellen Aussagen von CERT.at, sondern persönliche Meinungen einzelner Mitarbeiter.

Offene Key-Value Stores

11. Februar 2015

Wie Heise berichtet wurden in den letzten Tagen von einer Gruppe Studenten zehntausende vollständig ungesicherte Instanzen der NoSQL-Datenbank MongoDB im Internet entdeckt. In den meisten Fällen war nicht nur lesender Zugriff sondern auch die Manipulation von Datensätzen möglich.

Die Ursachen für diese grosse Anzahl an verwundbaren Systemen lassen sich laut der Analyse der Studenten auf folgende Punkte zusammenfassen:

  • Die Standardeinstellungen von MongoDB sind darauf ausgelegt dass die Datenbank auf der selben Maschine liegt wie die Software, die darauf zugreift - Erreichbarkeit über das Netzwerk ist darin nicht vorgesehen.
  • Die Dokumentationen und Richtlinien für die Konfiguration von MongoDB-Servern die über das Netzwerk erreichbar sein sollen ist in Bezug auf notwendige Authentifizierungsmassnahmen nicht explizit genug.
Dies kann dazu führen dass ein unerfahrener Administrator bei der Einrichtung wichtige Sicherheitsmassnahmen nicht aktiviert und damit ein grosses Einfallstor für potentielle Angreifer offen lässt.

Leider betrifft diese Problematik nicht nur MongoDB sondern auch andere verbreitete Produkte wie memcached und redis (beide binden sich in der Standardkonfiguration an alle verfügbaren Interfaces.).

Das luxemburgische Computer Incident Response Center CIRCL hat eine Reihe von Empfehlungen für eine sichere Konfiguration dieser Services veröffentlicht. CERT.at hat die Informationen über betroffene Systeme (sowohl für MongoDB als auch für ähnliche Fälle) an die jeweiligen ISPs weitergeleitet.

Autor: Alexander Riepl

Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Kritische Sicherheitslücken in Adobe Acrobat und Reader - Patches verfügbar
2. Oktober 2018 | Beschreibung Adobe ...
Kritische Sicherheitslücken in Adobe Acrobat und Reader - Patches verfügbar
19. September 2018 | Beschreibung Adobe ...
mehr ...
Der nächste Meilenstein: [CERT.at #1000000]
26. September 2018 | ...
DoS-Schwachstelle im Kernel - keine Panik!
7. August 2018 | In der ...
mehr ...
Jahresbericht 2016
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2015/2/11 - 09:03:20
Haftungsausschluss / Datenschutzerklärung